تازه‌ها

بانک

پرداخت

فین‌تک

کسب‌وکار‌ها

بورس

بیمه

دارایی دیجیتال

راه پرداخت
مدیریت زنجیره تأمین تجهیزات صنعت پرداخت در شرایط خاص کشور

مدیریت زنجیره تأمین تجهیزات صنعت پرداخت در شرایط خاص کشور

محمد فلاح نژاد، عضو کمیسیون صنعت پرداخت سازمان نظام صنفی رایانه ای استان تهران / امروزه اهمیت مبحث زنجیره تامین[1] و فراتر از آن مدیریت زنجیره تامین [2](SCM) بر کسی پوشیده نیست. زنجیره تامین همچون چتری است که بر مجموعه‌ به‌هم‌پیوسته‌ای از فعالیت‌ها، فرآیندها، اطلاعات و منابع گسترده شده است. به نحوی که از طریق آن‌، یک محصول یا خدمت از مرحله‌ طراحی و تامین مواد تا تولید و مونتاژ، بسته‌بندی، حمل‌ونقل، انبارداری، توزیع، تحویل، بهره‌برداری و پشتیبانی در نهایت به دست مصرف‌کننده یا بهره بردار نهایی می‌رسد.

واضح است که زنجیره تامین فقط حمل و نقل نیست. بلکه مدیریت هوشمند جریان «کالا، اطلاعات و پول» از تامین کننده تا مشتری نهایی است. امروزه شرکت‌های بزرگ با استفاده از راهکارها و ابزارهای متنوع، زنجیره تامین خود را هوشمند کرده‌اند. راهکارهایی نظیر:

  • داده کاوی
  • هوش مصنوعی
  • یادگیری ماشین
  • اینترنت اشیا (IoT)

امروزه مدیریت زنجیره تامین از اهمیت به سزایی برخوردار است به نحوی که در سطوح مختلف گرایش‌های مدیریتی بصورت آکادمیک تدریس می‌شود. با این رویکرد، نگاهی خواهیم داشت به نقش مدیریت زنجیره تامین در صنعت پرداخت کشور که با توجه به شرایط ویژه که در آن قرار داریم، قدر و بایستگی پرداختن به آن را دو چندان می‌کند.

فرایندهای اصلی مدیریت زنجیره تامین

فرایندهای اصلی مدیریت زنجیره تامین

پیش از ورود به بحث اصلی نگاهی خواهیم داشت بر فرآیندهای اصلی مدیریت زنجیره تامین که در بهبود عملکرد و برنامه ریزی و طراحی سازمانی کمک شایانی خواهد کرد.

در مدیریت زنجیره تامین و بر اساس مدل مرجع SCOR، فرآیندهای اصلی بصورت ذیل مطرح است.

  1. طراحی و برنامه ریزی
  2. ساخت و تولید
  3. تامین و منبع یابی
  4. ارسال و تحویل
  5. بازگشتی‌ها

بر این اساس باید تمامی اجزا مورد ارزیابی و نظارت کامل قرار گیرد تا علاوه بر حصول کارایی حداکثری همراه با کاهش هزینه‌ها، نظارت و پایش دقیق و شناخت ریسک‌های امنیتی هر کدام از حلقه‌های زنجیره را فراهم آورد که با مدیریت صحیح و نظارت و اقدام به‌موقع، می‌توان بر تهدیدات محتمل پیش رو فائق آمد.

وجود هر حلقه ضعیف در زنجیره، فرصتی برای بازیگران متخاصم ایجاد می‌کند تا از آسیب‌پذیری‌ها سواستفاده کرده و اجزای تقلبی، نامرغوب یا مخرب را معرفی کنند و یکپارچگی زنجیره تامین را به خطر بیندازند.

ضرورت اتخاذ رویکردی فراتر از انطباق حداقلی

صنعت پرداخت و زیرساخت‌های بانکی و شرکت‌های PSP قطعا از  نقاط خطیر و حساس در زیست‌بوم فناوری اطلاعات کشور هستند، تا جایی که از آن به عنوان شاهرگ حیاتی و ستون فقرات اقتصاد مدرن یاد می‌شود. از این رو وقوع هرگونه اختلال و قطعی و نفوذ در آن مستقیما خدشه به نظام اقتصادی و کسب و کارها وارد نموده و سلب اعتماد عمومی را در پی خواهد داشت.

در این بحث سعی بر آن است تا نگاه‌ها فراتر از آنچه حملات مرسوم نامیده می‌شوند رفته و چشم انداز وسیع تر و جدی تری از سطح حملات را یاداور شود.

رخدادها و حملات رایج نظیر افشای داده‌های کارت با حملات Fishing، دستکاری تراکنش‌ها یا سرقت اطلاعات با حملات مرد میانی (MitM) و از کار انداختن سیستم‌ها و جلوگیری از دسترسی کاربران واقعی به خدمات با حملات انکار سرویس (DDoS) اگر چه بسیار رایج و گسترده است ولی با رعایت الزامات و پیاده سازی پروتکل‌های امنیتی حوزه IT در تمام لایه ها اعم از شبکه و کاربرد تا حدودی قابل رصد و پایش و پیش‌گیری است. حوزه ای کاملا تخصصی و حیاتی که با استفاده از پروتکل‌ها و استانداردهای بین المللی و بعضا بومی سازی شده و تحت نظارت نهادهای بالادستی جریان دارد.

در اینجا سعی بر آن است تا با اشاره به حلقه‌ مفقوده‌ مدیریت زنجیره تامین در حوزه تامین هستارهای موجود در زیست بوم صنعت پرداخت کشور شامل تجهیزات سخت افزاری (سرور، تجهیزات ذخیره سازی، روتر و سوئیچ و فایروال و …) و همچنین نرم افزارهای مورد استفاده در این بخش، تلنگری باشد در جهت ترسیم دورنمای شفاف و ایجاد نقشه راه درخور و کارآمد که امن و قابل اعتماد بودن کل این زنجیره را شامل شود.

شکی نیست که با شرایط ویژه حاکم بر کشور عزیزمان ایران و سایه شوم تهدیدات ظالمانه و شرایط جنگی، اگر تنها نگرانی و دغدغه‌ پیشگیری از حملات سایبری مرسوم و رایج را داشته باشیم، بسی ساده لوحانه و دور از خرد است. زیرا در این شرایط نوک حمله تهدیدات نه به منظور سرقت و انگیزه های مالی که  به واسطه وارد آوردن ضربه های سیاسی و شرایط جنگی است.

گزارشات موسسات فعال در حوزه ریسک‌های عملیاتی از جمله فشارسنج ریسک آلیانز نشان می دهد که وقوع اختلال در زنجیره تامین، دومین مخاطره مهم پس از تهدیدات و حملات مرتبط با حوزه امنیت سایبری است. همین موضوع نشان دهنده اهمیت حیاتی حفاظت از اقتصاد دیجیتال امروزی است.

یادآوری آنچه در خصوص موضوع پیجرها اتفاق افتاد و همچنین چند رخداد اخیر که برخی از بانک‌های کشور را هدف قرار داده بود و آنچه مرتبط با حادثه‌ اصفهان خوانده می‌شود، همه و همه لزوم و اهمیت بازنگری و دقت نظر ویژه و اتخاذ تصمیمات و تغییر رویه ها و استانداردهای تامین و تجهیز ملزومات صنعت پرداخت و ایجاد بستر امن مدیریت زنجیره تامین را دوچندان می‌کند. حملات زنجیره تامین از یک سناریوی تخصصی به یکی از جدی‌ترین بردارهای تهدید در زیرساخت‌های حیاتی تبدیل شده‌اند. تفاوت اصلی این حملات با موارد متعارف آن است که مهاجم به‌جای هدف قراردادن مستقیم سامانه نهایی، ابتدا یک عنصر مورد اعتماد در چرخه تولید، توزیع، نصب یا پشتیبانی را هدف قرار داده و آلوده می‌کند.

پس از اشاره مختصر به برخی از رخدادها که البته با لحاظ نمودن شرایط حساس کنونی تنها به ذکر نام بسنده شد و جا دارد که هر کدام‌شان بصورت تخصصی و ویژه و در قالب تیم‌های تحقیق و تفحص متشکل از کارشناسان و خبرگان حوزه‌های فنی و امنیتی مورد تحقیق و بررسی موشکافانه قرار گرفته و نتایج تحقیقات در قالب سند تصمیم سازی و اجرایی درآید، به سوال اساسی چه باید کرد می‌رسیم.

نکته اساسی این است که امنیت باید از مبدا زنجیره تامین آغاز شود که صد البته با توجه به شرایط موجود، این مورد از موارد پرچالش و بحث برانگیز است. چرا که وجود تحریم ها در اشکال مختلف مانع از آن است تا عمدتا تجهیزات و ملزومات از سازندگان اصلی و شرکت‌های معتبر بین‌المللی و برند اصلی سازنده محصول خریداری شود. بعضا محصولات مورد نیاز پس از چند بار دست به دست شدن بین فروشندگان و Reseller هایی که در مسیر رنجیره تامین وجود دارند دراختیار قرار می‌گیرند.

متاسفانه بسیاری از نهادها و سازمان‌ها، امنیت زنجیره تامین را در سطح انتخاب فروشنده معتبر تقلیل داده و بقیه موارد مغفول واقع می‌شود، درحالی‌که تجهیز ممکن است در کارخانه، در مسیر حمل، در مرحله نصب، در به‌روزرسانی‌ها و یا حتی در تعمیرات دست‌کاری شود. هر نقطه از این زنجیره می‌تواند محل وقوع حملاتی نظیر تزریق بدافزار، دستکاری firmware، جایگزینی قطعه، نصب implant سخت‌افزاری باشد.

یکی از رویه های ورود موثر به بحث امن سازی زیست بوم زنجیره تامین تجهیزات، اتکا و اجرای  استانداردهای معتبر بین‌المللی مرتبط با این حوزه است. استانداردها و پروتکل‌هایی نظیر:

  • PCI DSS
  • NIST SP 800-218
  • PCI PIN Security
  • ISO 28000 Supply Chain Security Management System
  • Zero Trust

مفهوم Zero Trust که در بالا به آن اشاره شد، یکی از پرکاربردترین مفاهیم دنیای امنیت است. مفهوم Zero Trust که پایه و بنیان آن مبتنی بر این رویکرد است که سامانه‌ها و سرویس‌ها به طور مداوم در معرض خطر هستند و اساسا Zero Trust بر مبنای «هرگز اعتماد نکردن و همیشه تاییدیه گرفتن» بنا شده است راهکاری است که تکیه بر آن می‌تواند در این مسیر بسیارموثر واقع شود.

با رعایت الزامات و استانداردهای فوق‌الذکر و همچنین لحاظ نمودن سند الزام آور بومی‌سازی شده امید آن می‌رود که عبور از انطباق حداقلی و حرکت به سمت اطمینان معقول و قابل دفاع در برابر نفوذ و دست‌کاری در مسیر زنجیره تامین فراهم ‌شود.

  • بخشی از تجهیزات و ملزوماتی که شامل پایش و رصد مضاعف در مسیر زنجیره تامین هستند در ذیل امده است:
  • POS / mPOS / SoftPOS
  • PIN Pad
  • ATM / Cash Recycler / Kiosk
  • ماژول‌های حساس: EPP، کارت‌خوان، NFC، ماژول‌های ارتباطی
  • HSM
  • KMS  و زیرساخت مدیریت کلید
  • تجهیزات مرتبط با PIN Processing و Key Injection
  • روتر، سوئیچ، فایروال
  • Load Balancer ،WAF ،IDS/IPS
  • VPN Gateway
  • سرورها، Storage ،Hypervisor
  • سامانه‌های مانیتورینگ و مدیریت متمرکز
  • سیستم‌عامل‌ها و Firmware
  • Agentها و ابزارهای مدیریت
  • کتابخانه‌ها و وابستگی‌ها (Dependencies)
  • کانتینرها و پایپلاین‌های CI/CD
  • سامانه‌های Patch/Update

لیستی از اقداماتی که می‌تواند در راستای امن سازی زنجیره تامین مطرح شود بدین قرار است:

  • تعیین ماتریس  RACI و تخصیص مسئولیت‌ها
  • تعیین و اتخاذ سیاست رسمی و جامع  Supply Chain Security
  • انجام ارزیابی‌های امنیتی پیش از عقد قرارداد
  • پلمب ضد دستکاری تجهیزات
  • ثبت سریال و Asset Tag در CMDB
  • قرنطینه ورود برای اقلام حساس
  • بازرسی فیزیکی و تطبیق سریال  و مشخصات فیزیکی با اطلاعات مندرج در سایت رسمی توید کننده
  • راستی‌آزمایی امضای Firmware و مقایسه Hash با مرجع
  • راه‌اندازی اولیه و اسکن و تست تجهیز در شبکه کاملا ایزوله
  • نصب در محیط ایزوله و ثبت audit trail
  •  Dual Control و جداسازی وظایف (SoD)
  •  Segmentation سخت‌گیرانه
  • Deny-by-Default  و کنترل خروجی
  • مدیریت از طریق Jump server و PAM
  • استفاده از SIEM سرور و پایش تغییر firmware/config
  • IDS/IPS/NDR و baseline deviation detection
  • playbook برای supply chain compromise
  • شناسایی و ارزیابی مراکز تعمیر مجاز
  • zeroization  کانفیگ‌، کلیدها و عدم استفاده از تنظیمات پیش‌فرض

تغییر رویکرد در حملات بسیار جدی و مخربانه که از طرف کشورها و گروه‌های متخاصم اتخاذ می‌گردد، لزوم ورود و توجه حداکثری در حوزه امنیت زنجیره تامین را دوچندان می‌کند. تهیه سند اجرایی و اجرای فرآیند پویا و مستمر برای انطباق با تهدیدات در حال تحول و حفظ امنیت چند وجهی و از جمله حصول اطمینان از صحت و سلامت کالا و تجهیزات و دیگر ملزومات مورد استفاده در صنایع حساس و از جمله در زیست بوم صنعت پرداخت کشور، مستلزم نظارت، ارزیابی و بهبود مستمر است.

پر واضح است که در اینجا اشاره به مفهوم حصول اطمینان از صحت و سلامت تجهیزات، تنها شامل موارد عملکرد فنی محصولات نبوده و هدفی به مراتب مهم تر از آن یعنی اطمینان از عدم دستکاری، جعل و تزریق قطعات فیزیکی و کدهای مخرب به محصول را دنبال می‌کند.

ایجاد یک زنجیره تامین امن اطمینان می‌دهد که محصولات یا خدمات ارائه شده، معتبر و ایمن بوده و عاری از هرگونه دستکاری یا تغییر مخرب هستند.

نمایش لینک کوتاه
لینک کوتاه: https://way2pay.ir/gw6v کپی شد
تصویر راه پرداخت

راه پرداخت

اتاق خبر راه پرداخت مرجع پوشش روزانه اخبار و روندهای بانکداری، پرداخت، فین‌تک، بورس، بیمه و اقتصاد دیجیتال ایران است. تحریریه راه پرداخت از سال ۱۳۹۰ به‌صورت مستمر تحولات این اکوسیستم را رصد و تحلیل کرده و محتوایی تخصصی، دقیق و به‌روز برای مخاطبان خود تولید می‌کند.
دیگر مطالب نویسنده

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

تازه‌های راه پرداخت

ماهنامه عصر تراکنش

مطالب پیشنهادی

سهام گروه مالی فیروزه تا چه اندازه ارزنده است؟

چگونه بدون رفتن به شعبه در بانک کشاورزی حساب باز کنیم؟

مرکز فرماندهی ثروت؛ روایت بارونز از عصر طلایی دفاتر خانوادگی در سال ۲۰۲۶